Компания MikroTik, производящая сетевое оборудование, выпустила исправление для серьезной уязвимости в RouterOS и подтвердила, что этот баг был использован пять месяцев назад на хакерском соревновании Pwn2Own Toronto. При этом в MikroTik заявили, что в декабре никто не уведомил компанию о проблеме.
В бюллетене, документирующем уязвимость CVE-2023-32154, Mikrotik подтверждает, что проблема затрагивает устройства под управлением MikroTik RouterOS версий v6.xx и v7.xx со включенной функцией IPv6 advertisement receiver.
Согласно данным организаторов Pwn2Own, Trend Micro Zero Day Initiative (ZDI), эта уязвимость позволяет удаленным злоумышленникам выполнить произвольный код на уязвимых устройствах.
«Для использования этой уязвимости не требуется аутентификация, — предупреждает ZDI в своем сообщении. — Проблема существует в демоне Router Advertisement Daemon и возникает из-за отсутствия надлежащей проверки данных, предоставляемых пользователем, что может привести к записи за пределы выделенного буфера. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте root».
Организаторы Pwn2Own решили раскрыть данные об уязвимости до выхода патчей, так как компания MikroTik в течение пяти месяцев хранила молчание в отношении уже эксплуатируемой уязвимости. В ZDI говорят, что сообщали MikroTik о баге еще в ходе соревнования, в декабре прошлого года, и повторно обращались к компании с вопросами о патче в мае, спустя пять месяцев. В итоге 10 мая ZDI «повторно раскрыла отчет по просьбе производителя» и дала компании дополнительную неделю на выпуск исправлений.
Как теперь заявляют представители MikroTik в своем отчете, компании не удалось найти запись о декабрьском раскрытии информации от ZDI, а представители компании не присутствовали на Pwn2Own Toronto для обсуждения эксплоита.
В бюллетене, документирующем уязвимость CVE-2023-32154, Mikrotik подтверждает, что проблема затрагивает устройства под управлением MikroTik RouterOS версий v6.xx и v7.xx со включенной функцией IPv6 advertisement receiver.
Согласно данным организаторов Pwn2Own, Trend Micro Zero Day Initiative (ZDI), эта уязвимость позволяет удаленным злоумышленникам выполнить произвольный код на уязвимых устройствах.
«Для использования этой уязвимости не требуется аутентификация, — предупреждает ZDI в своем сообщении. — Проблема существует в демоне Router Advertisement Daemon и возникает из-за отсутствия надлежащей проверки данных, предоставляемых пользователем, что может привести к записи за пределы выделенного буфера. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте root».
Организаторы Pwn2Own решили раскрыть данные об уязвимости до выхода патчей, так как компания MikroTik в течение пяти месяцев хранила молчание в отношении уже эксплуатируемой уязвимости. В ZDI говорят, что сообщали MikroTik о баге еще в ходе соревнования, в декабре прошлого года, и повторно обращались к компании с вопросами о патче в мае, спустя пять месяцев. В итоге 10 мая ZDI «повторно раскрыла отчет по просьбе производителя» и дала компании дополнительную неделю на выпуск исправлений.
Как теперь заявляют представители MikroTik в своем отчете, компании не удалось найти запись о декабрьском раскрытии информации от ZDI, а представители компании не присутствовали на Pwn2Own Toronto для обсуждения эксплоита.